Aller au contenu principal
own2pwn
appsec/nis2.tsx

Directive NIS2 : qui est concerné, obligations, sanctions et calendrier France

Directive NIS2 : qui est concerné (entités essentielles ou importantes), les 10 mesures de l'article 21, les sanctions et la notification d'incident.

own2pwn··15 min de lecture

Un fournisseur vous envoie un questionnaire de sécurité. Un assureur cyber vous réclame un plan de mise en conformité. Un client grand compte conditionne le renouvellement à un « engagement NIS2 ». En quelques mois, trois signaux venus de trois directions différentes, et la même question qui revient : cette directive, elle nous impose quoi, au juste, et à partir de quand ?

La directive NIS2 (pour sécurité des réseaux et des systèmes d'information, texte européen 2022/2555) élargit massivement le périmètre de la première directive NIS et durcit les obligations de cybersécurité pour des dizaines de milliers d'organisations en Europe. Ce guide en fait le tour : qui est concerné, les dix obligations concrètes de l'article 21, les sanctions, la notification d'incident et le calendrier de transposition. Pas une paraphrase du texte, mais le comment, du point de vue de gens qui testent la sécurité pour de vrai.

NIS2 en une phrase (et ce qui change par rapport à NIS1)

NIS2 est une directive de l'Union européenne qui impose à certaines organisations, jugées importantes pour le fonctionnement de la société et de l'économie, un socle de mesures de cybersécurité et une obligation de notifier les incidents significatifs. Là où NIS1 (2016) ne visait qu'une poignée d'opérateurs, NIS2 étend le périmètre à 18 secteurs et aspire, dès la taille moyenne (50 salariés ou 10 M€ de chiffre d'affaires), les entreprises moyennes, les ETI et les grandes entreprises. Par ricochet de la chaîne d'approvisionnement, elle finit par toucher des milliers de PME qui ne sont pas visées en direct.

Trois ruptures rendent le texte incontournable. D'abord, le périmètre explose : aux opérateurs historiques s'ajoutent la fabrication, l'agroalimentaire, la gestion des déchets, les services numériques, l'espace ou la recherche, et un critère de taille qui rattrape les entreprises moyennes. Ensuite, la responsabilité remonte aux dirigeants : les organes de direction approuvent les mesures, les supervisent, et peuvent voir leur responsabilité engagée, ce qui n'est plus un sujet « IT ». Enfin, les sanctions deviennent dissuasives, jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

Suis-je concerné ? Entité essentielle ou importante

Deux critères se croisent : votre secteur (est-il listé dans les annexes de la directive ?) et votre taille. Le croisement vous range dans l'une de trois cases : entité essentielle, entité importante, ou hors champ direct.

perimetre-nis2
Point de départ
Êtes-vous dans un secteur des annexes ?
Annexe I (hautement critiques) : énergie, transport, banque, santé, eau, infrastructures numériques, administration. Annexe II (autres critiques) : fabrication, agro, déchets, chimie, poste, fournisseurs numériques, recherche.
Grande entreprise + annexe I
Entité essentielle (EE)
Contrôle strict et supervision proactive possible, sanctions jusqu'à 10 M€ ou 2 % du CA mondial.
Moyenne (annexe I) ou moyenne/grande (annexe II)
Entité importante (EI)
Mêmes obligations de fond, contrôle plutôt réactif (après incident), sanctions jusqu'à 7 M€ ou 1,4 % du CA mondial.
Le statut se décide au croisement de l'annexe et de la taille, pas sur la seule taille. La sous-traitance peut vous faire entrer par ricochet.

Le piège de lecture : une grande entreprise d'un secteur de l'annexe II reste importante, pas essentielle. C'est l'annexe qui commande, la taille ne fait que départager. Côté seuils, on reprend les définitions européennes (recommandation 2003/361) : une entreprise est grande à partir de 250 salariés, ou d'un chiffre d'affaires supérieur à 50 M€ et d'un bilan supérieur à 43 M€ ; elle est moyenne à partir de 50 salariés, ou de 10 M€ de chiffre d'affaires ou de bilan.

Il reste le cas le plus fréquent, et le plus mal compris : vous vous croyez hors champ parce que vous êtes une PME, mais un donneur d'ordre soumis à NIS2 vous impose ses exigences par contrat, au titre de la sécurité de sa chaîne d'approvisionnement. C'est l'effet ricochet, et il touche des milliers d'entreprises jamais désignées nommément. On détaille les seuils et ce cas de la sous-traitance dans le guide NIS2 pour les PME.

Les 10 obligations de l'article 21 (le comment concret)

Le cœur technique de NIS2 tient dans l'article 21.2 : dix mesures minimales de gestion des risques, à appliquer selon une approche « tous risques » et proportionnée. Les voici, avec ce qu'elles impliquent réellement plutôt que leur libellé juridique.

  1. (a) Analyse des risques et politique de sécurité. Le socle documentaire, nourri de scénarios réels plutôt que d'un modèle générique.
  2. (b) Gestion des incidents. Détection, réponse, journalisation. Une procédure qu'on a répétée, pas un PDF qu'on découvre le jour J.
  3. (c) Continuité d'activité. Sauvegardes testées (une sauvegarde jamais restaurée n'est pas une sauvegarde), gestion de crise, reprise.
  4. (d) Sécurité de la chaîne d'approvisionnement. Vos prestataires, vos dépendances, votre surface exposée héritée. Le maillon faible est rarement chez vous : il est chez un tiers que vous avez oublié.
  5. (e) Sécurité de l'acquisition, du développement et de la maintenance, y compris le traitement et la divulgation des vulnérabilités. Vos applications et API. C'est ici que se logent les vulnérabilités qu'un attaquant exploite en premier.
  6. (f) Évaluation de l'efficacité des mesures. La mesure qu'on oublie : prouver que le reste fonctionne. Tester, mesurer, corriger.
  7. (g) Hygiène informatique et formation. Correctifs, comptes, sensibilisation. L'ennuyeux qui ferme la porte à l'essentiel des attaques opportunistes.
  8. (h) Cryptographie et chiffrement. Une politique claire sur le chiffrement des données au repos et en transit.
  9. (i) Sécurité des ressources humaines, contrôle d'accès et gestion des actifs. Moindre privilège, gestion des départs, cloisonnement, et un inventaire des actifs tenu à jour, le socle de visibilité repris plus bas.
  10. (j) Authentification multifacteur et communications sécurisées.MFA, communications d'urgence sécurisées. Le minimum vital, désormais exigé.

Deux de ces mesures sont le terrain direct d'un testeur offensif : le (e) (vos applications exposées et leurs failles) et le (f) (prouver que ça tient). C'est tout l'objet de l'audit NIS2 par le test d'intrusion : documenter, preuve à l'appui, que chaque mesure résiste vraiment.

Visibilité d'abord : on ne sécurise pas ce qu'on ne voit pas

Avant les mesures, il y a un préalable que le texte présuppose : connaître son périmètre. Les mesures (a), (d) et (e) sont vides de sens si votre inventaire d'actifs est faux, et il l'est presque toujours. Le sous-domaine de campagne oublié, l'API de préproduction laissée ouverte, le service d'administration exposé par erreur : voilà ce que l'attaquant trouve en premier, et ce que votre tableau Excel ignore.

visibilite-nis2
Socle
Cartographie des actifs exposés
Ce que vous exposez réellement sur Internet, mis à jour en continu. Sans ça, tout le reste flotte.
Couche
Mesures techniques (art. 21)
MFA, correctifs, contrôle d'accès, chiffrement, sécurité applicative.
Couche
Preuve d'efficacité
Tests d'intrusion, retests, journalisation. La mesure (f).
Couche
Gouvernance et notification
Décision de direction, gestion d'incident, notification aux autorités.
La conformité NIS2 se construit par couches, sur un socle de visibilité. (Survolez pour écarter les couches.)

C'est exactement le rôle de la gestion de la surface d'attaque externe appliquée à NIS2 : rendre visible et suivre dans le temps ce que vous exposez, y compris via vos prestataires (mesure d).

Notification d'incident : 24 h, 72 h, un mois

En cas d'incident significatif, NIS2 impose un rythme de notification à l'autorité compétente (en France, l'ANSSI) en trois temps :

  • Alerte précoce sous 24 h : un premier signalement, même minimal, dès que l'incident est constaté.
  • Notification sous 72 h : une évaluation initiale (gravité, impact, indicateurs de compromission).
  • Rapport final sous un mois après la notification à 72 h : analyse complète, mesures prises, cause racine.

Ce tempo n'est tenable que si la détection et la procédure ont été préparées et répétées avant. Un plan de notification qu'on découvre en pleine crise est un plan qui échoue.

Sanctions : pourquoi le sujet est monté au comité de direction

NIS2 aligne ses sanctions sur une logique proche du RGPD, ce qui explique qu'elle ne reste plus dans le service informatique. Une entité essentielle s'expose jusqu'à 10 M€ ou 2 % de son chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu ; une entité importante jusqu'à 7 M€ ou 1,4 %. Au-delà de l'amende, les organes de direction peuvent être tenus responsables. Pour les entités essentielles, l'autorité peut même, en dernier recours, interdire temporairement à un dirigeant d'exercer ses fonctions si une mise en demeure de se conformer reste sans effet dans le délai fixé (article 32.5).

NIS2, DORA, RGPD : comment ça s'articule

NIS2 ne remplace pas les autres textes, elle s'y ajoute et parfois leur cède la priorité. DORA (secteur financier) prime sur NIS2 pour les entités qu'il couvre, au titre de la lex specialis : une banque suit DORA, pas NIS2, pour sa résilience opérationnelle. Le RGPD, lui, traite la donnée personnelle quand NIS2 traite la sécurité des réseaux et systèmes ; un même incident peut déclencher les deux notifications, à deux autorités différentes et dans deux délais différents.

Calendrier NIS2 (UE et France)

Les jalons européens sont figés ; la jambe française, elle, s'est fait attendre.

calendrier-nis2
Décembre 2022
Adoption de la directive 2022/2555
Publication au Journal officiel de l'Union européenne, entrée en vigueur en janvier 2023.
17 octobre 2024
Échéance de transposition
Date limite pour les États membres, application des règles nationales à partir du 18 octobre 2024.
France
Transposition en cours
Par la voie législative et réglementaire, avec retard. L'enregistrement des entités se prépare côté ANSSI.
Les dates européennes sont acquises. La transposition française suit avec retard, par la loi Résilience.

En France, la transposition passe par un véhicule législatif dédié, la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité (dite loi Résilience), complétée de textes d'application qui préciseront les seuils, les secteurs et le calendrier d'enregistrement. L'ANSSI met en place la plateforme MonEspaceNIS2 pour l'enregistrement des entités et un simulateur d'assujettissement. Le détail réglementaire évoluant encore, calez toujours votre plan sur le statut à jour plutôt que sur une date supposée.

Statut France : à vérifier avant tout plan
Au moment d'écrire, la jambe française de NIS2 n'est pas entièrement stabilisée : seuils, secteurs et calendrier d'enregistrement sont précisés par des textes d'application encore en mouvement. Avant de figer un plan de conformité, vérifiez le statut à jour sur le site de l'ANSSI et identifiez l'autorité sectorielle dont vous dépendez.

Par où commencer concrètement

La conformité NIS2 se construit par étapes, dans un ordre qui évite de dépenser avant de savoir.

demarche-nis2
Étape 1
Statuer sur votre périmètre
Êtes-vous EE, EI, ou concerné par ricochet ? Le guide NIS2 et PME vous aide à trancher.
Étape 2
Cartographier ce que vous exposez
Impossible de sécuriser un actif inconnu. C'est le socle, et le pont vers la mesure (d).
Étape 3
Combler les écarts
Sur les dix mesures, par ordre de risque réel, documentaire comme technique.
Étape 4
Prouver l'efficacité
Par un test d'intrusion orienté NIS2, puis retester après correction.
Étape 5
Préparer la notification et gouverner
Faire approuver le tout par la direction. NIS2 est un cycle, pas un projet à date de fin.
La démarche, dans l'ordre qui évite les dépenses inutiles : on statue, on voit, on corrige, on prouve, on gouverne.

À retenir

  • NIS2 élargit le périmètre à 18 secteurs et fait entrer ETI et PME, directement ou par la chaîne d'approvisionnement.
  • Deux statuts : entité essentielle (contrôle strict, jusqu'à 10 M€ ou 2 % du CA) et entité importante (contrôle réactif, jusqu'à 7 M€ ou 1,4 %). C'est l'annexe, pas la seule taille, qui départage.
  • Dix mesures à l'article 21, dont l'évaluation de leur propre efficacité (f) que presque personne ne traite.
  • Notification en 24 h / 72 h / un mois : tenable seulement si c'est préparé en amont.
  • La responsabilité remonte aux dirigeants, ce qui fait de NIS2 un sujet de gouvernance, pas d'intendance IT.
  • La visibilité est le préalable : on ne sécurise ni ne prouve ce qu'on ne voit pas.

NIS2 récompense ceux qui savent ce qu'ils exposent et peuvent le prouver. La première marche, avant même la paperasse, c'est de cartographier votre surface d'attaque externe pour ne plus découvrir vos actifs oubliés en même temps que l'attaquant. À partir de là, chaque mesure de l'article 21 a un terrain concret sur lequel s'appuyer.

Articles liés